آشوب آزاد شده: بدافزار Condi کنترل روترهای Wi-Fi TP-Link را برای حملات مخرب باتنت DDoS در دست می گیرد

بدافزار تازه کشف شده به نام Condi به عنوان یک تهدید مهم ظاهر شده است و از یک آسیب پذیری امنیتی در روترهای Wi-Fi TP-Link Archer AX21 (AX1800) استفاده می کند. هدف اصلی آن مهار این دستگاه‌های آسیب‌دیده، مونتاژ کردن آن‌ها در یک بات‌نت قدرتمند توزیع‌شده انکار سرویس (DDoS) است. محققان از پایان ماه مه 2023 به افزایش شدید شدت کمپین اشاره کرده اند.

چه کسی پشت کاندی است؟

مغز متفکر Condi فردی است که با نام آنلاین zxcr9999 شناخته می شود و فعالانه فعالیت های غیرقانونی خود را از طریق کانال تلگرام Condi Network تبلیغ می کند. از ماه مه 2022، عامل تهدید با ارائه خدمات DDoS به عنوان یک سرویس و حتی فروش کد منبع بدافزار، بات نت خود را کسب درآمد کرده است. محققان امنیتی به طور کامل این بدافزار را تجزیه و تحلیل کرده اند و توانایی آن را در حذف بات نت های رقیب در همان میزبان کشف کرده اند. با این حال، Condi فاقد مکانیزم پایداری است که باعث می‌شود از راه‌اندازی مجدد سیستم جان سالم به در نبرد.

برای غلبه بر محدودیت ماندگاری پس از راه‌اندازی مجدد سیستم، Condi با حذف چندین باینری که مسئول خاموش کردن یا راه‌اندازی مجدد سیستم هستند، اقدام می‌کند. این باینری ها عبارتند از /usr/sbin/reboot، /usr/bin/reboot، /usr/sbin/shutdown، /usr/bin/shutdown، /usr/sbin/poweroff، /usr/bin/poweroff، /usr/sbin/. halt و /usr/bin/halt. شایان ذکر است که بات نت Mirai قبلا از آسیب پذیری مورد نظر سوء استفاده می کرد.

برخلاف سایر بدافزارهای گسترده، Condi از یک ماژول اسکنر برای شناسایی روترهای TP-Link Archer AX21 که در برابر CVE-2023-1389 آسیب پذیر هستند (امتیاز CVSS: 8.8) استفاده می کند. به جای استفاده از حملات brute-force مانند برخی بات‌نت‌ها، Condi یک اسکریپت پوسته به‌دست‌آمده از یک سرور راه دور را اجرا می‌کند تا بدافزار را روی دستگاه‌های شناسایی‌شده قرار دهد.

به گفته تحلیلگران امنیتی، نمونه های متعددی از Condi ارائه شده است که از آسیب پذیری های امنیتی شناخته شده مختلف برای انتشار استفاده می کند. این نشان می‌دهد که دستگاه‌هایی که نرم‌افزارهای وصله‌نشده را اجرا می‌کنند، به ویژه در معرض هدف قرار گرفتن توسط این بدافزار بات‌نت هستند. جدا از تاکتیک های تهاجمی کسب درآمد، هدف اصلی Condi به خطر انداختن دستگاه ها و ایجاد یک بات نت DDoS قدرتمند است. سپس این بات‌نت را می‌توان به سایر عوامل تهدید اجاره داد و آنها را قادر می‌سازد تا حملات سیل TCP و UDP را بر روی وب‌سایت‌ها و سرویس‌های هدفمند انجام دهند.

خنثی سازی بات نت ها در حفظ یک اکوسیستم دیجیتال ایمن و پایدار بسیار مهم است. بات‌نت‌ها، مانند بدافزار Condi، می‌توانند از آسیب‌پذیری‌ها در نرم‌افزارهای اصلاح‌نشده سوء استفاده کنند و شبکه‌ای از دستگاه‌های در معرض خطر را برای فعالیت‌های مضر، مانند حملات DDoS، مهار کنند. این حملات خدمات آنلاین را مختل می کند و به طور قابل توجهی یکپارچگی و در دسترس بودن زیرساخت های حیاتی را تهدید می کند. افراد، سازمان‌ها و متخصصان امنیتی باید هوشیار باشند، نرم‌افزار را به‌روز نگه دارند و از اقدامات امنیتی قوی برای شناسایی و کاهش تهدیدات بات‌نت استفاده کنند. با خنثی کردن فعالانه بات‌نت‌ها، می‌توانیم از محیط‌های دیجیتال خود محافظت کنیم و به یک چشم‌انداز آنلاین امن‌تر برای همه کاربران کمک کنیم.